【安全资讯】新型钓鱼活动瞄准TikTok for Business账户，利用反向代理绕过双因素认证

概要：

在数字广告与社交媒体营销日益重要的今天，针对企业账户的网络攻击正变得愈发狡猾。近期，一场精心设计的钓鱼活动将目标锁定在TikTok for Business账户上，攻击者利用复杂的伪装技术和反向代理，旨在窃取企业用户的登录凭证，甚至能够绕过双因素认证（2FA）的保护，对依赖社交媒体进行业务推广的企业构成了严重威胁。

主要内容：

此次钓鱼活动由Push Security公司发现并披露。攻击者首先通过不明渠道（推测为电子邮件或虚假招聘信息）引诱受害者访问托管在Cloudflare上的钓鱼页面。这些页面伪装成TikTok for Business或Google Careers的“预约通话”页面，要求访客输入企业邮箱地址等基本信息进行初步验证。

攻击的核心技术在于使用了反向代理。当受害者完成初步信息填写后，会被引导至一个伪造的登录页面。该页面实际上充当了用户与真实TikTok服务之间的中间人，能够实时捕获用户输入的账号、密码以及会话Cookie，并直接将这些敏感数据传输给攻击者。

这种中间人攻击方式使得攻击者能够劫持用户会话。即使目标账户启用了双因素认证（2FA），由于攻击者窃取的是已通过认证的活跃会话Cookie，他们依然可以完全控制该账户。Push Security特别指出，由于许多企业用户通过Google单点登录（SSO）服务访问TikTok，一旦中招，攻击者可能同时危及用户的Google和TikTok广告账户。

此次事件凸显了针对高价值企业账户的钓鱼攻击正变得更加复杂和具有针对性。攻击者不仅利用了TikTok for Business账户在广告投放和内容分发上的高权限与可信度，还通过技术手段（如利用Cloudflare Turnstile检查阻挡安全分析机器人）提高了攻击的隐蔽性和成功率，对企业数字资产安全构成了直接挑战。